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Abrege 



The message involves the sending authority choosing a whole number n and three security parameters 
t,u,v. The sender also chooses a secret key x which is a whole number less than t. A whole value r is 
calculated with r=g k modulus n where g is the base and k is a number which is much less than the 
product of the security parameters. The sender also calculates an authentication message using the 
secret key where s=k+c*x where ci is the cut-off period. The message is transmitted to the receiver 
which calculates r=y c*g s modulus n where y is the public key. This is used to verify the message and 
sender identity. 
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PROCEDE DE SIGNATURE NUMERIQUE ET D ' AUTHENTIFICATION 
DE MESSAGES UTILISAHT UN LOGARITHME DISCRET 

DESCRIPTION 

5 

Domaine technique 

La presente invention a pour objet un precede de 
signature num£rique et d' authentif ication de messages 

10 utiiisant un logarithme discret. Elle trouve une 
application dans la cryptographie dite k cle publique. 

L 1 invention concerne plus particulierement le 
domaine des procedes dit "sans trans fert de 
connaissance" (ou "zero- knowledge") . Dans de tels 

15 procedes, 1 ' authentif ication se d6roule suivant un 
protocole qui, de fagon prouv6e, et sous des hypotheses 
reconnues comme parfaitement raisonnables par la 
communaute scientif ique, ne r§v61e rien de la cle 
secrete de 1' entity dont la signature est a 

20 authentif ier. 



Etat de la technique anterieure 

Dans certaines techniques ant6rieures de signature 
2 5 num£rique de messages, 1' entity devant 6mettre un 
message signe est d6tentrice d'une cl6 dont un 61£ment, 
appel6 module, est public et un autre £16ment est 
secret. Pour signer un message, cette entity ajoute au 
message une redondance en utiiisant sa cl6 secrete. Le 
30 message emis est done une fonction du message et de la 
cle secrete. 

Pour verifier la signature, le destinataire du 
message utilise la partie publique de la cl6 et 
effectue un calcul qui doit redonner le message initial 
35 avec sa redondance. En retrouvant la redondance, le 
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destinataire conclut que le message qu'il a regu n'a pu 
etre transmis que par l'entite qui pretend l f avoir 
envoye, puisqu'elle seule etait capable de traiter le 
message de cette mani^re. 

5 

Dans de telles procedures, la security est fondee 
sur 1' extreme difficulty qu'il y a A inverser certaines 
fonctions. Dans le cas de 1' invention qui va etre 
decrite, la securite du proced6 de signature est fondee 

10 sur l f extreme difficulty du probleme du logarithme 
discret. Ce probleme consiste, etant donne la relation 
mathematique : y=g x modulo n (qui signifie : y est le 
reste de la division de g x par n) , £ retrouver x 
lorsque l'on connalt n, g et y. Ce probleme est 

15 impossible k r^soudre, en l'6tat actuel des 
connaissances, d£s que la taille n atteint ou depasse 
500 bits et que celle de x atteint ou depasse 128 bits. 

Dans les syst£mes mettant en oeuvre de tels 
procedes, il existe en general une autorite, en 

20 laquelle un ensemble d f utilisateurs a confiance, qui 
determine un nombre n de grande taille (au moins 500 
bits), constituant le module. L'invention s'applique 
des lors que le nombre n est choisi de telle sorte que 
le probleme du logarithme discret soit impossible £ 

25 resoudre en pratique. Pour cela, il existe 
essentiellement deux options : 

- ou le module n est calcule de telle sorte qu'il 

soit impossible, en pratique, (c 1 est-A-dire 
compte tenu des algorithmes de factorisation 
30 existants) , de retrouver les facteurs premiers 

dont il est le produit ; dans une utilisation 
classique de cette option, n est le produit de 
deux grands facteurs premiers distincts ; 

- ou ce module est un nombre premier v^rifiant 
35 certaines propri6t6s que l f on peut trouver dans 
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la litterature specialisee ; dans une utilisation 
classique de cette option, n-1 est le double d'un 
nombre premier. 
L'autorite choisit ensuite un entier g, appele 
5 base, tel que 1* ensemble engendr6 par g, c'est-d-dire 
1' ensemble constitue des nombres g x modulo n, lorsque x 
parcourt l'intervalle [0, n-1], soit un sous-ensemble de 
taille maximale (ou, en tout cas, de taille 
suffisamment grande (au moins 2 128 )), de cet 
intervalle. A titre d'exemple, la taille maximale est 
n-1 lorsque n est premier, proche de n/2 lorsque n est 
le produit de deux facteurs premiers distincts. 

Les nombres n et g sont publies par l'autorite et 
doivent etre connus de tous les utilisateurs qui y sont 
15 rattaches. Dans une variante, ces param^tres sont 
choisis individuellement par chaque utilisateur et font 
done partie integrante de sa cl£ publique. 

Dans un tel contexte, on connait un procede de 

20 signature de messages qui comprend essentiellement les 
operations suivantes. Dans ce proced6, n est un nombre 
premier et q est un nombre premier divisant n-1. La cle 
privee x est choisie au hasard entre 1 et q et la cl6 
publique y est prise egale & y=g~ x modulo n. L 1 entity 

25 qui d6sire &mettre et signer un message M choisit au 
hasard un entier positif k et calcule r=g k modulo n. 
Cette entity calcule ensuite une fonction de hachage 
(ou de condensation) c=h(r, M) , la fonction de hachage 
etant connue de tous. L f entitS calcule ensuite une 

30 somme s=k+cx modulo n et elle transmet cette somme & 
une entity authentif icatrice ainsi que la fonction c. 
Cette entite calcule, a l'aide de la cl6 publique et de 
la base g, le produit modulo n de g s .y c soit r et 
verifie que la fonction de hachage h(r, M) redonne bien 

35 la fonction de hachage c qu'elle a recue. 




Un tel procede est decrit dans 1' article de CP. 
SCHNORR intitule "Efficient Signature Generation by 
Smard Cards", publie dans J. Cryptology (1991) 4 : 161- 
5 174, pp. 161-174. 

Le brevet americain US-A-4, 995, 082 delivre a CP. 
SCHNORR decrit egalement un procede analogue avec des 
algorithmes encore plus complexes ou la somme s n'est 
plus seulement la somme de deux termes modulo q mais 
10 une somme double, toujours modulo un certain entier, en 
l f occurrence p-1. 

Si ce proc6d6 donne satisfaction a certains 
6gards, il presente neanmoins 1 ' inconvenient de 

15 necessiter des operations qui sont des multiplications 
modulaires. Ces operations apparaissent dans le calcul 
de g k modulo p et dans la somme k+cx modulo q (ou les 
doubles sommes modulo p-1) . 

Or, cette operation de multiplication modulaire 

20 est complexe et necessite des moyens importants. Dans 
des dispositifs simples n'utilisant que des 
microprocesseurs standards, cette operation n'est gu6re 
possible. De meme, dans des ordinateurs oix les 
fonctions cryptographiques sont r£alis6es A l'aide d f un 

25 logiciel, le calcul d'une multiplication modulaire 
n'est jamais tr6s performant. 

La reduction du nombre de tels calculs est done 
souhaitable. C'est precisement le but de la presente 
invention. 

30 

Expose de l f invention 

A cette fin, la presente invention pr6voit un 
procede de signature de messages, du genre de celui qui 
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vient d'etre decrit, mais qui reduit, voire supprime, 
les multiplications modulaires • 

La reduction est obtenue en faisant calculer a 
1' entity emettrice une somme simple, soit s=k+cx, de 
5 1' entier k choisit au hasard et du produit de la 
fonction de hachage c et de la cle secrete x, et non 
plus une somme modulo un entier, comrae dans l'art 
anterieur. Cette multiplication modulaire est done 
supprimee. 

10 

Dans un mode de mise en oeuvre encore plus simple, 
les nombres r de la forme g k modulo n, dont le calcul 
met en oeuvre des multiplications modulaires, sont 
precalcules et memorises dans 1' entity signataire, ce 
15 qui dispense celle-ci d' avoir & les calculer. II ne 
reste plus alors aucune multiplication modulaire & 
effectuer dans l'entite emettrice. 

De fagon precise, la presente invention a pour 
2 0 objet un procede de signature num6rique de message, 
dans lequel une autorite choisit un nombre n, appele 
module, un entier g appele base, trois paramStres t, u, 
v appeles param&tres de s6curit§, cette autorite 
publiant le module n, la base g et les trois param&tres 
25 de security t, u, v auprfes de diverses entit6s 
utilisatrices ; ce procede comprenant, pour une entity 
A desirant emettre un message M et le signer 
num6riquement, et pour une entite B desirant verifier 
la signature du message M, les operations suivantes : 
30 a) l 1 entity A choisit au hasard une c!6 secrete x 

6gale & un entier positif ou nul strictement 
inferieur au param^tre t et determine sa cl6 
publique en elevant g A une certaine puissance de 
x modulo n et cette cl6 publique et certifiSe par 
35 l f autorite, 
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b) I'entite A choisit ensuite, au hasard, un entier 
positif ou nul k strictement inf^rieur au produit 
des trois parametres t, u, v et I'entite A garde 
l'entier k secret, 
5 c) I'entite A calcule ensuite, £ l'aide de g et de 

k, un entier r tel que : 

r = g k modulo n, 

d) I'entite A calcule ensuite, par une fonction de 
hachage connue de toutes les entit£s 

10 utilisatrices, la fonction de hachage de 1' entier 

r precedemment obtenu et du message 4 signer M, 
soit c=h(r, M) , c etant un entier compris entre 0 
et v-1, 

e) I'entite A calcule, a partir de sa cl6 secrete x, 
15 de 1' entier k et de la fonction de hachage c, un 

entier s d6fini par : 

s = k + cx 

f) I'entite A transmet le message M, la fonction de 
hachage c et 1' entier s precedemment obtenu a 

20 I'entite B, 

g) 1' entity B v£rifie le certificat de la cle 
publique de A et calcule, & partir du module n, 
de la cl6 publique y de l f entit6 A et de la 
fonction de hachage c regue de A, le produit 

25 modulo n, de y c par g s , 

soit r 53 y c g s modulo n 

h) I'entite B v6rifie alors que la fonction de 
hachage du produit r qu'elle a obtenu et du 
message M qu'elle a regu, soit h(r, M) , redonne 

30 bien la fonction de hachage c regue de A, auquel 

cas 1 ' authentif ication de la signature du message 
emis par A est reussie. 
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Dans une variante, r est remplace par un condense 
de r, par exemple h(r) ou les 128 bits de poids faible 
(ou poids fort) de r. 

De preference, l'entite A possede un ensemble 
5 predetermine de valeurs kl, . .., ki, . .., km et un 
ensemble correspondant d'entiers rl, . .,, ri, . .., rm 
lies aux ki par ri=g ki modulo n, Dans ce cas, l'entite 
A, pour determiner ledit entier r, choisit un nombre ki 
dans 1' ensemble des ki et lit 1 T entier correspondant 

10 ri=gki modulo n. 

De preference encore, l'autorite et l'entite A 
possedent deux generateurs pseudo-al6atoires identiques 
aptes k delivrer tous deux la m§me suite pseudo- 
aieatoire d'entiers kl, ki, • km & partir d'une 

15 valeur d' initialisation kO applique au generateur, 
Cette valeur d 1 initialisation kO est echangee entre 
l'entite A et l'autorite de maniere securis6e. 
L'autorite calcule alors la sequence d'entiers ri=g ki 
modulo n correspondant A la sequence kl, . .., ki, . ,,, 

20 km liee a 1 ' initialisation kO, transmet la sequence des 
entiers rl, . .., ri, — , rm & l'entite A qui les 
memorise, L'entite A devant emettre et signer des 
messages Ml, Mi, Mm, met en route son 

generateur pseudo-al6atoire & partir de la mSme valeur 

25 d' initialisation kO, et, pour chaque message Mi & 
signer, lit la valeur ki d61ivr6e par son generateur 
pseudo-aieatoire, lit 1' entier ri correspondant et 
signe le message Mi a l'aide de l f entier ri. 

La presente invention a egalement pour objet un 

30 procede d'authentification de message qui peut etre 
considere comme une variante du proc6de de signature. 
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Expose detaille de modes de realisation 

Le precede de 1' invention est precede d'une phase 
de pretraitement, dans laquelle l'autorit£ choisit un 
5 module n de grande taille, e'est-a-dire d'au moins 500 
bits et une base g. L'autorit6 determine egalement la 
valeur des trois parametres de security, t, u et v. II 
est recommande que la longueur de t soit d'au moins 128 
bits, celle de u d'au moins 64 bits et celle de v d'au 

10 moins 128 bits. 

L'entite utilisatrice, que 1'on designera par 
A, choisit au hasard une cle secrete x, qui est un 
entier positif ou nul strictement inf6rieur au 
parametre t. L'entite A calcule sa cle publique en 

15 elevant g a une certaine puissance de x modulo n, par 
exemple y=g~ x modulo n ou y=g x modulo n ou par d'autres 
equations proches de celle-ci. L' inverse se calcule a 
l'aide de l'algorithme d'EUCLIDE de calcul du plus 
grand commun diviseur. 

20 La cl6 publique y (ou n, g et y) est ensuite 

certifiee par l'autorit£, selon un m6canisme de 
certification quelconque. Si ce mfecanisme repose sur un 
procede de signature num^rique tel que celui qui va 
etre decrit, 1'autoritS calcule un certificat, c'est-&- 

25 dire une signature num6rique d'un ensemble de 
parametres contenant au minimum la cl6 publique y (ou 
n, g et y) et une chaine I qui rassemble des 
caract£ristiques discriminantes de 1 1 utilisateur 
associe. Par exemple, I peut etre la concatenation, 

30 selon un format & d6finir avec precision, de l f identity 
de 1' utilisateur, de son adresse, de son age, etc. 
ainsi que, par exemple, de ses droits i effectuer telle 
ou telle action. 

Tous les utilisateurs devront connaitre la cl6 

35 publique de l'autoritfe, afin de pouvoir verifier les 
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certificats qu'elle emet, et connaitre ainsi avec 
certitude la cle publique correspondant & 1 'utilisateur 
dont le champ d 1 identification est I. Ce type de 
procedure fait partie de l'gtat de la technique en 
5 mati^re de cryptographie . 

Cette phase pr61iminaire £tant achevee, le procede 
de signature de 1' invention comprend certaines 
operations qui vont etre decrites maintenant La cle 
10 publique de A est suppos£e connue de B, ce qui peut 
resulter d'un echange prealable non explicite ici, qui 
pourrait d'ailleurs etre integre dans le protocole de 
signature, 

1) L'entite A choisit au hasard un entier k 
15 positif ou nul strictement inf§rieur au produit 

t.u.v=2 400 et garde secret cet entier k. Elle calcule 
ensuite 1' entier r=g k modulo n. 

2) L'entite A calcule ensuite c=h{r, M) ou h est 
une fonction de hachage. 

20 3) L T entite A calcule alors 1' entier s=k+cs. 

4) L'entite A envoie (M, c, s) k l'entite B, 

5) L'entite B calcule le produit/ modulo n, de y c 
par g s : 

r = y c g s modulo n 

25 et verifie que 

h(r # M) = c 

Si la verification est faite, 1 ' authentif ication 
de la signature M est r6ussie. 

30 On remarquera que la signature du message a, pour 

les valeurs de param£tres prises en exemple, une 
longueur de 560 bits. Avec des valeurs un peu 
inferieures, mais ne compromettant pas la security du 
proced<§, on pourrait obtenir une longueur d' environ 450 

35 bits. 
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Dans un mode de realisation particulier qui va 
maintenant etre decrit, I'entite A n f aura qu'une seule 
operation a effectuer : celle de l'etape 3. Aucune 
operation modulaire ne sera done A mettre en oeuvre. 
5 A cette fin, I'entite A peut etre 6quipee d'une 

table (ou memoire) oti les entiers r=g^ sont memorises a 
l'adresse k. II suffit alors & I'entite A de venir lire 
le nombre r correspondant au nombre k choisi. 

En contrepartie, ce dispositif ne peut effectuer 
10 qu'un nombre limite de signatures. Cependant/ lorsque 
ce nombre est atteint, on peut, par une procedure de 
rechargement (eventuellement a distance) , mettre a 
nouveau k la disposition de A un nouveau jeu d f entiers 
r . 

15 

Dans un mode particulier de realisation, les 
nombres k utilises pour les signatures successives sont 
engendres par un g£nerateur pseudo-aleatoire partage 
par 1 'utilisateur et l'autorit6. La valeur initiale de 

20 ce gen£rateur doit etre transmise par 1'autorite & 
1 • utilisateur (ou le contraire) de fagon securisee. 
Cette s6curit6 peut etre obtenue en effectuant cette 
transmission localement, ou en effectuant cette 
transmission & distance £ l'aide d f un procede 

25 cryptographique (par exemple un procede de chiffrement) 
ind6pendant du proced6 actuellement d6crit. 

Soit kO cette valeur initiale. Soient kl, . .., ki, 
km les valeurs engendrees par le generateur 
pseudo-al6atoire, l'indice i 6tant l'indice courant 

30 allant de 1 A m. L'autorit6 calcule les valeurs rl, 
. .., ri, rm correspondantes (par la formule de 

l'6tape 1) et les transmet 4 1 'utilisateur (sans qu'il 
y ait besoin d'en assurer la confidentiality) . 
L f utilisateur les memorise. Avantageusement, l'autorite 

35 ne transmettra qu'un condense de chaque valeur rl, 
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ri, . .., rm (par exemple les 160 derniers bits), et le 
calcul de l'etape 2 ou 5 ne portera que sur ces valeurs 
tronquees . 

L'etape 1 du procede de signature est alors 
5 modifiee comme suit : 

1) L'entite A met en oeuvre son generateur pseudo- 
aleatoire pour engendrer k, une valeur strictement 
inferieure au produit tuv=2 400 , et va chercher en 
memoire la valeur de r (ou la valeur tronquee de r) 
10 correspondante que l'autorit6 lui avait pr^alablement 
transmise . 

Lorsque l'entit§ A a produit ses m signatures, 
elle redemande alors & l'autorit6 une nouvelle 
initialisation k'O (transmis de fagon sQre) et une 
15 nouvelle sequence r f l, r r i, r'm. L'entit6 A 

peut signer £ nouveau m messages A l'aide des r'l,..., 
r * i, . . . , r f m. 

A titre d 1 exemple, si chaque nombre ri fait 160 
bits, alors/ une m6moire de 2 kilooctets permet de 
20 produire environ 100 signatures. 

La production de telles signatures est quasiment 
instantanee, meme avec un dispositif muni de ressources 
limit6es comme une carte k microprocesseur standard. 

25 Deux variantes permettent de reduire la taille de 

la signature. 

Dans la premiere, apr£s avoir calculi s, l'entite 
A verifie que c ( t-1) <s<tuv-l . Si ce n'est pas le cas, A 
(et B dans le cas de 1 1 authentif ication de message) 

30 recommence le processus de signature (ou 
d' authentif ication de message) & l'etape b) , c'est-&- 

dire : I'entite A choisit au hasard un entier k etc . 

On est ainsi certain que s ne revile aucune information 
sur le secret x. Ceci permet de reduire u autant qu'on 

35 le desire, mais au prix de reprises eventuelles. 
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Dans la seconde variante, on remplace dans 
1' equation c-h(r,M), M par f(M) oti f est egalement une 
fonction de hachage. Dans le cas ou les etapes b) £ e) 
sont executees par un dispositif securise, les qualites 
5 requises pour h sont moindres : il suffit que h soit k 
sens unique. Ceci permet de diviser environ par deux la 
longueur de v. 

Dans la description qui precede, 1' accent a ete 

10 mis sur la signature de messages mais 1' invention 
s' applique egalement A 1 f authentif ication de messages 
qui en est une variante. La difference entre 
1 * authentif ication de message et la signature num£rique 
de message est que la premiere resulte d f un proc6d6 

15 interactif et la seconde d'un procede non interactif. 
Une consequence est que les donn6es servant & 
authentif ier un message venant d'une entity A aupres 
d'une entite B ne peuvent pas etre utilisees 
ult6rieurement pour authentifier le meme message aupres 

20 d f une troisieme entite C. Au contraire, une signature 
num^rique peut etre verifi6e par n'importe quelle 
entite & n'importe quel moment. 

Dans la variante d' authentif ication, les 
operations sont les suivantes : 

25 1) L'entite A choisit au hasard un entier positif 

ou nul k strictement inferieur au produit tuv=2 270 et 
elle garde Jc secret; Elle calcule ensuite 1' entier : 

r = g k (modulo n) 

puis 

30 r » - h(r,M) 

2) L'entite A envoie r' £ 1' entite B. 

3) L' entite B choisit au hasard un entier positif 
ou nul c strictement inferieur a v - 2 30 (c ' est-a-dire 
inferieur 4 v-1) . 

35 4) L'entite B envoie c & l'entite A. 
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5) L'entite A calcule l'entier : 

k = k + ex. 

6) L'entite A envoie (M, s) a l'entite B. 

7) L'entite B calcule le produit modulo n de y c 
par g s : 

yCgS = r (modulo n) 

et verifie que 

h(r,M) = r ' . 

Si la verification est satisfaite, 

l f authentif ication de l'entite A et du message M est 
reussie. 



Les dispositifs et moyens permettant de mettre en 
oeuvre le proc£de de signature qui vient d'Stre decrit 
15 sont classiques. On peut simplement souligner que les 
entites doivent : 

- etre rattachees h une autorite de tutelle, qui 
calcule les certificats, produit les nombres n et 
g (& moins que chaque utilisateur ne les produise 

20 lui-meme) et fixe les valeurs des parametres de 

securite ; 

- §tre capables de detenir les cl£s secretes (pour 

l'entite A authentif ier) , ce qui suppose un raoyen 
de stockage s6curise, de fagon £ ce qu'une 
25 lecture non autoris£e soit impossible en 

pratique ; 

- etre capables de d6tenir des cles publiques, ce 

qui suppose un moyen de stockage s6curis£, de 
fagon k ce qu'une modification non autorisee soit 

30 impossible en pratique ; 

etre capables, dans la variante gen6rale, 
d'effectuer des multiplications modulo n, ce qui 
suppose (dans le cas d'une carte & 
microprocesseur) , 1' existence d'une unite de 

35 calcul sp£cialisee ; etre capables, dans le mode 
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de realisation particulier, d'effectuer des 
operations arithmetiques usuelles, ce qui evite 
(dans le cas d'une carte cL microprocesseur) , 
1' existence d'une unite de calcul sp£cialis6e ; 
5 - etre capables de mettre en oeuvre un generateur 

aleatoire et/ou un generateur pseudo-al6atoire ; 
etre capables de dialoguer, ce qui suppose 
1' existence d'une interface de communication. 



10 



Tous ces moyens sont connus de l'homme du metier. 
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REVINDICATIONS 



1. Procede de signature numerique de message dans 
lequel une autorite choisit un nombre n, appel£ module, 
5 un entier g, appel£ base, trois param6tres t, u, v, 
appeles param^tres de security, cette autorite publiant 
le module n, la base g et les trois param^tres de 
securite t, u, v aupr£s de diverses entites 
utilisatrices, ce proced£ comprenant, pour une entite A 
10 desirant emettre un message M et le signer 
numeriquement, et pour une entity B desirant verifier 
la signature du message M, les operations suivantes : 



15 



a) 



l f entite A choisit au hasard une cl£ secrete x 
egale a un entier positif ou nul strictement 
inferieur au parametre t et determine sa cle 
publique en elevant g A une certaine puissance de 
x modulo n et cette cl6 publique est certifi6e 
par l'autoritfe, 



b) 



1' entity A choisit ensuite, au hasard, un entier 
positif ou nul k, strictement inf6rieur au 
produit des trois param^tres t, u, v et 1' entite 
A garde l f entier k secret, 



20 



c) 



l f entite A calcule ensuite, & l'aide de g et k, 
un entier r tel que : 



25 



r = g k modulo n, 



30 



d) 



1' entity A calcule ensuite, par une fonction de 
hachage connue de toutes les entites 
utilisatrices, la fonction de hachage de 1' entier 
r precedemment obtenu et du message & signer M, 
soit c=h(r, M) , c etant un entier compris entre 0 
et v-1, 



e) 



1' entite A calcule, & partir de sa cle secrete x, 
de l 1 entier k et de la fonction de hachage c, un 
entier s d6fini par : 



35 



s = k + cx 
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f) l'entite A transmet a l'entite B le message M, la 
fonction de hachage c et I'entier s precedemment 
obtenu, 

g) l'entite B v6rifie le certificat de la cl§ 
5 publique de A et calcule, £ partir du module n, 

de la cle publique y de l'entite A et de la 
fonction de hachage c regue de A, le produit, 
modulo n, de y c par g s , soit : 

r = yCgS modulo n 

10 h) l'entite B verifie alors que la fonction de 

hachage du produit r et du message M regu/ soit 
h(r, M) / redonne bien la fonction de hachage c 
qu'elle a regue de A, auquel cas 
1 ' authentif ication de la signature du message 

15 emis par A est reussie. 



2. Procede de signature num6rique de messages 
selon la revendication 1, caract£rise par le fait que 
la cl£ publique y est 6gale a g" x modulo n. 

20 

3, Procede de signature num6rique de messages 
selon la revendication 1, dans lequel l'entite A 
possede un ensemble predetermine de valeurs kl, . 
ki, . •., km et un ensemble correspondant d f entiers rl, 

25 . ri, . rm lies aux ki par ri=g ki modulo n, 

l'entite A, pour determiner ledit entier r, choisissant 
un nombre ki dans 1' ensemble et lisant I'entier ri 
correspondant • 



30 4. Procede selon la revendication 3, caracterise 

par le fait que : 

- l'autorite et l'entite A possedent deux g§n6rateurs 
pseudo-aieatoires identiques aptes £ d61ivrer deux 
suites pseudo-aieatoires d'entiers kl, ki, . .., km 

35 identiques a partir d'une valeur d' initialisation kO du 
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generateur, cette valeur d' initialisation kO etant 
echangee entre I'entite A et l'autorite de maniere 
securisee, 

l'autorite caicule la sequence d' entiers ri=g ki 
5 modulo n correspondant £ la sequence kl, . .., ki, . .., 
km liee a 1 ' initialisation kO/ transmet la sequence des 
entiers rl, . .., ri, . .., rm k 1' entity A qui les 
memorise, 

- I'entite A devant emettre et signer des messages Ml, 
10 Mi, Mm met en route son g6n6rateur pseudo- 

aleatoire a l'aide de la valeur d' initialisation kO, et 
pour chaque message Mi a signer lit la valeur ki 
delivree par le generateur pseudo-aieatoire, lit 
l'entier ri correspondant et signe le message Mi & 
15 l'aide de l'entier ri. 

5. Proced6 selon la revendication 4, dans lequel, 
apres avoir signe m messages Ml, . .., Mi, . .., Mm et 
epuise ses m entiers rl, . .., ri, . .., rm, I'entite A 

20 et l'autorite echangent de maniere securisee une 
nouvelle valeur d f initialisation k'O pour les deux 
generateurs pseudo-aieatoires, l'autorite transmet k 
I'entite A une nouvelle sequence d'entiers r'l, . .., 
r'i, . .., r'm, que I'entite A utilise pour une nouvelle 

25 s£rie de signature de m messages. 

6. Procede selon la revendication 1, caracterise 
par le fait que I'entite A verifie que c ( t-1 ) <s<tuv-l 
et que si ce n'est pas le cas, I'entite A recommence le 

30 processus de signature. 

1. Proc6d6 selon la revendication 1, caracterise 
par le fait que dans le calcul de la fonction hachage 
c=h(r,M), le message M est remplace par une fonction 
35 f (M) oil f est egalement une fonction de hachage. 
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8. Precede d' authentif ication de message selon la 
revendication 1, caracterisS par le fait qu'il comprend 
d'abord les operations a, b, c ; puis l'entite A 
5 calcule r' = h(r,M) ; l'entite B choisit ensuite au 
hasard un entier positif ou mil c inferieur k v-1 et 
l'envoie k l'entite A ; l'entite A calcule ensuite 
l f entier s = k+cx et envoie £ l f entity B le message M 
et 1' entier s ; l'entite B calcule le produit modulo n 
10 de y c par g s / soit r, et verifie que h(r,M) = r' . 
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